WebInspect是最准确和全面的自动化的Web应用程序和Web服务漏洞评估解决方案。使用WebInspect,安全专业人员和规范审计人员可以在自己的环境中快速而轻松地分析众多的Web应用和Web服务。WebInspect是唯一的一款由世界领先的Web安全专家每日维护和更新的产品。这些解决方案专门为评估潜在的安全漏洞而设计,并提供所有修复这些漏洞所需要的资讯。
WebInspect带来了最新的评估技术,能够适应任何企业环境的Web应用安全产品。当您开始进行漏洞评估时,WebInspect的“评估代理” (assessment agent)能够对Web应用的所有区域进行分析。当这些代理(agent)完成评估后,所有的发现结果都自动汇总给一个核心的安全引擎,进行结果分析。之后,WebInspect启动审计引擎,评估所收集的信息,并运用攻击算法查找漏洞,并确定其严重程度。通过上述的途径,WebInspect能够持续地使用适当的评估资源,以适应您的具体应用环境。
WebInspect的主要特点
以下是关于您能够用WebInspect做什么,以及它能给您的企业带来什么好处的简要概述。
1、抓取(crawl)与审计(audit)
WebInspect使用两个基本模式,以确定您的安全弱点:
-
WebInspect通过抓取的方式确定目标网站的结构。从本质上说,会遍历整个网站,直到没有更多URL可以访问。
-
审计是真正意义上的漏洞评估。当抓取和审计合并为一个功能时,即所谓“扫描”。
2、报告
通过 WebInspect报告,可以获得有价值的、组织好的应用信息。您可以自定义报告的细节,决定在每一份报告中包含什么级别的信息,并为特定受众生成报告。您也可以将任意自定义的报告保存为模板,以便日后使用更新的信息数据生成此类的报告。您可以使用PDF或HTML格式储存报告,也可以在报告中包括漏洞数据的图形摘要信息。
3、手动攻击控制
通过 WebInspect ,您可以模拟真实的攻击环境,并看到您网站上所发生的一切。 WebInspect功能让您可以查看包含漏洞的任意网页代码,然后修改服务器请求,并重新发布。当使用Web代理工具,如果Web Proxy从客户端收到一个请求,从服务器端收到一个响应,或者找到满足您制定的搜索规则的文本时,您都可以暂停客户端服务器的数据流。
4、汇总和修复
WebInspect对在扫描过程中发现的所有漏洞进行汇总,并提供相应的补救信息,包括参考材料,补丁的链接,防止再出现类似问题的指导,以及漏洞的解决方案。一旦确认了新的攻击和漏洞,我们将更新我们的汇总和修复信息数据库。使用WebInspect工具栏上的SmartUpdate,用最新的漏洞解决方案信息更新您的数据库。
5、扫描策略
您可以修改和自定义扫描策略,以满足您的组织的要求,减少WebInspect完成全部扫描所花费的时间。
6、可排序和定制的视图
当您进行扫描或查看一个扫描时,在WebInspect窗口左边的导航窗格中包括网站、序列、搜索和步骤模式按钮,这些按钮决定了导航窗格中显示的内容(或“视图”)。
-
序列视图根据WebInspect自动评估或手动抓取(步骤模式)的结果顺序,显示服务器资源。
-
搜索视图可以让您找到满足您指定的条件的会话。
-
站点视图展现WebInspect检测到的所扫描网站的文件层次结构。
-
步骤模式用来手动浏览网站,起始点为您从网站视图或序列视图中选择的会话。
6、整个企业范围内的应用能力
综合的评估过程从整体企业的角度为您的Web状态提供了一个全面的概览,让您能够有选择地,对网络上所有基于Web的应用进行单独的或计划的应用评估。
7、Web服务评估
WebInspect提供针对您Web服务漏洞的全面的评估,通过WebInspect,您可以评估包含Web服务/SOAP 对象的应用系统。
8、导出向导
通过WebInspect的可配置的XML导出工具,用户能够以一种标准化的XML格式导出扫描过程中发现的所有信息,包括注释、隐藏的域、 JavaScript、Cookie、Web窗体、URL、请求和会话。用户可以指定要导出信息的类型。
9、工具
在WebInspect中打包了一系列诊断和渗透测试工具,包括:
-
Compliance Manager
-
Cookie Cruncher
-
Encoder/Decoder
-
HTTP Editor
-
Log Viewer
-
Policy Manager
-
Regular Expression Editor
-
Server Analyzer
-
Server Profiler
-
SOAP Editor
-
SQL Injector
-
Web Brute
-
Web Discovery
-
Web Form Editor
-
Web Fuzzer
-
Web Macro Recorder
-
Web Proxy
